Addendum sulla privacy della legge statunitense

Il presente Addendum sulla privacy ai sensi delle leggi degli Stati Uniti ("Addendum") integra le condizioni dell'Accordo quadro di abbonamento, delle Condizioni del servizio o delle Condizioni del servizio del cliente rivenditore (come applicabile, l'"Accordo") e delinea alcuni diritti e obblighi sulla privacy dei dati in relazione ad alcune leggi degli Stati Uniti. I termini in maiuscolo utilizzati ma non altrimenti definiti nel presente documento hanno il significato attribuito loro nell'Accordo.

Sezione A – Disposizioni generali. La presente Sezione A dell'Addendum si applica alla fornitura dei Servizi da parte di Zoom e all'uso degli stessi da parte del Cliente nella misura in cui il Cliente è un'azienda o un Titolare del trattamento e Zoom tratta o sta trattando le Informazioni personali del Cliente ai sensi del CCPA o di altre leggi statali applicabili in materia di protezione dei dati.

1. Definizioni. Come utilizzato nel presente Addendum, "Cliente" indica un'azienda o un Titolare del trattamento che sottoscrive i Servizi Zoom. I termini in maiuscolo utilizzati nella presente Sezione A, ma non altrimenti definiti, hanno il significato attribuito loro nelle Sezioni B(1) e C(1) di seguito.
   
   
2. Audit e valutazioni.
   
   
   1. Zoom condurrà audit di terze parti per attestare la conformità ai framework ISO 27001 e SOC 2 Tipo II come segue:
      
      
      1. Su base annuale, Zoom eseguirà l'audit dei Criteri di sicurezza, disponibilità e privacy nell'audit SOC-2.
         
         
      2. Gli audit verranno eseguiti secondo gli standard e le norme dell'ente normativo o di accreditamento competente per lo standard o il framework di controllo applicabile.
         
         
      3. Gli audit verranno eseguiti da revisori di sicurezza di terze parti qualificati e indipendenti, selezionati da Zoom e a spese di Zoom.
         
         
      4. Ciascun audit determinerà la generazione di un report di audit rivolto al cliente ("Report di audit di Zoom"), che Zoom renderà disponibile al cliente su richiesta su base annuale. Il Report di audit di Zoom sarà considerato un'Informazione riservata di Zoom.
         
         
3. Limitazioni alla ricezione di informazioni. Nulla di quanto previsto dal presente Addendum obbliga Zoom a divulgare: (a) dati o informazioni di altri clienti di Zoom o di terze parti; (b) informazioni contabili o finanziarie interne; (c) segreti commerciali di Zoom; o (d) informazioni che, a ragionevole giudizio di Zoom, potrebbero: (i) compromettere la sicurezza delle reti, dei sistemi o delle sedi di Zoom; (ii) causare la violazione da parte di Zoom dei propri obblighi di sicurezza o privacy nei confronti di terze parti; o (iii) informazioni richieste per motivi diversi da quelli indicati nel presente Addendum. Zoom potrebbe richiedere al Cliente di accettare i termini e le condizioni ragionevoli di Zoom (o del suo revisore o valutatore terzo) prima di fornire al Cliente il Report di audit di Zoom.
   
   
4. Cancellazione dei dati. Zoom (a) cancellerà o restituirà i dati personali al Cliente, come richiesto dalla legge statale sulla protezione dei dati applicabile e su richiesta del Cliente, al termine della fornitura dei Servizi o (b) non conserverà, utilizzerà o divulgherà le Informazioni personali al termine o alla scadenza della relazione tra il Cliente e Zoom, come richiesto dal CCPA. Nulla di quanto previsto nella presente Sezione A(4) (Cancellazione dei dati) imporrà a Zoom di (i) cancellare o restituire i dati che deve conservare ai sensi delle Leggi applicabili o (ii) restituire anziché distruggere i Dati personali nella misura in cui la restituzione non sia tecnicamente fattibile o imponga a Zoom oneri, costi o entrambi sostanziali.
   
   

Sezione B – California.  La presente Sezione B dell'Addendum si applica alla fornitura dei Servizi da parte di Zoom e all'uso degli stessi da parte del Cliente nella misura in cui tale Cliente è un'azienda e Zoom tratta le Informazioni personali per conto del cliente ai sensi del CCPA.

1. Definizioni. Nella presente Sezione B dell'Addendum: (a) per "CCPA" si intende il California Consumer Privacy Act del 2018, come modificato dal California Privacy Rights Act del 2020, e qualsivoglia normativa emanata ai sensi degli stessi; (b)"Azienda","Scopo aziendale","Scopo commerciale","Consumatore","Trattamento","Vendita","Fornitore di servizi" e "Condivisione" hanno i rispettivi significati attribuiti loro nel CCPA; e (c) per "Informazioni personali" si intendono le "informazioni personali" come definite nel CCPA, ma solo nella misura in cui tali informazioni personali siano raccolte, consultate, ottenute, ricevute, utilizzate, divulgate o altrimenti trattate da Zoom come risultato della fornitura dei Servizi da parte di Zoom al Cliente nell'ambito delle proprie capacità come azienda ai sensi dell'Accordo.
   
   
2. Riconoscimenti e obblighi. Zoom (a) accetta che le Informazioni personali vengano divulgate dal Cliente soltanto per gli scopi limitati e specificati di fornire i Servizi descritti in un Modulo d'ordine e per gli scopi descritti nell'Accordo; (b) si impegna a rispettare gli obblighi applicabili ai Fornitori di servizi ai sensi del CCPA e si impegna a fornire lo stesso livello di protezione della privacy alle Informazioni personali come richiesto dal CCPA, inclusa la stessa protezione della privacy richiesta alle Aziende; (c) accetta che il Cliente possa intraprendere azioni ragionevoli e opportune coerenti con la Sezione A(2) nel presente documento per contribuire a garantire che l'uso delle Informazioni personali da parte di Zoom sia conforme agli obblighi del cliente ai sensi del CCPA; (d) si impegna a informare tempestivamente il Cliente di qualsiasi decisione presa da Zoom in merito alla sua incapacità di adempiere agli obblighi previsti dal CCPA; e (e) accetta che il Cliente possa, previa notifica, intraprendere azioni ragionevoli e appropriate per interrompere e porre rimedio all'uso non autorizzato delle Informazioni personali, coerentemente e in conformità con le normative applicabili, richiedendo a Zoom una documentazione ragionevole che attesti che Zoom non conserva né utilizza più le Informazioni personali oggetto di una richiesta di cancellazione valida.
   
   
3. Limitazioni. Zoom non potrà (a) vendere o condividere Informazioni personali; (b) conservare, utilizzare o divulgare alcuna Informazione personale per scopi diversi da quelli descritti nella Sezione B(2)(a) di cui sopra o da quelli altrimenti consentiti dal CCPA, inclusa la conservazione, l'utilizzo o la divulgazione di Informazioni personali per scopi commerciali diversi da tali scopi o dalla fornitura di servizi a un'altra attività commerciale; (c) conservare, utilizzare o divulgare Informazioni personali al di fuori del rapporto commerciale tra Zoom e il Cliente, salvo nella misura consentita dal CCPA; o (d) combinare le Informazioni personali ricevute ai sensi dell'Accordo con le Informazioni personali ricevute da un'altra parte o dalle interazioni di Zoom con il consumatore a cui si riferiscono le Informazioni personali, salvo nella misura in cui un Fornitore di servizi sia autorizzato a farlo ai sensi del CCPA. Zoom certifica con la presente di comprendere i propri obblighi ai sensi del presente Addendum e di impegnarsi a rispettarli.
   
   
4. Audit, revisioni e valutazioni. Il Cliente, previa osservanza di requisiti ragionevoli e di accordi scritti richiesti da Zoom e conformi al CCPA, e a proprie spese, può sottoporre Zoom ad audit, revisioni o valutazioni non più di una volta ogni 12 mesi, in conformità con la Sezione A(2) (Audit e valutazioni) di cui sopra.
   
   
5. Richieste dei Consumatori. Il cliente informerà tempestivamente Zoom e fornirà a Zoom tutte le informazioni necessarie dopo aver ricevuto e verificato una richiesta del Consumatore, e Zoom adotterà tempestivamente le misure necessarie e fornirà le informazioni che il Cliente può ragionevolmente richiedere in relazione alle Informazioni personali del Consumatore al fine di aiutare il Cliente ad adempiere alle richieste degli interessati di esercitare i propri diritti ai sensi del CCPA, incluse, a titolo esemplificativo ma non esaustivo, le richieste di accesso, correzione, cancellazione, opposizione alla Vendita o alla Condivisione, o ricezione di informazioni relative alle Informazioni personali che li riguardano. Qualora Zoom riceva una richiesta direttamente dai Consumatori del Cliente, Zoom potrà (i) consigliare al Consumatore di contattare direttamente il Cliente con tale richiesta o (ii) contattare il Cliente per rispondere direttamente al Consumatore.
   
   

Sezione C – Virginia, Colorado, Utah e altri Stati. La presente Sezione C dell'Addendum si applica alla fornitura dei Servizi da parte di Zoom e all'uso degli stessi da parte del Cliente nella misura in cui il cliente è un Titolare del trattamento dei Dati personali e Zoom tratta i dati personali del Cliente ai sensi delle leggi statali applicabili in materia di protezione dei dati.

1. Definizioni. Ai fini della presente Sezione C dell'Addendum: (a) per "Leggi statali applicabili in materia di protezione dei dati"si intendono (i) il Colorado Privacy Act del 2021, il Virginia Consumer Data Protection Act del 2021 o lo Utah Consumer Privacy Act del 2022, e successive modifiche, o (ii) qualsiasi altra legge statale statunitense applicabile emanata allo scopo di proteggere i Dati personali, in base alla quale il Cliente è un Titolare del trattamento e Zoom è un Responsabile del trattamento e i termini e le condizioni del presente Addendum soddisfano i requisiti di tali leggi statali; (b)"Titolare del trattamento","Dati personali", "Trattamento" e"Responsabile del trattamento"hanno il significato loro attribuito nelle leggi statali applicabili in materia di protezione dei dati; e (c)"Istruzioni"ha il significato indicato di seguito.
   
   
2. Trattamento dei dati personali: ruoli, ambito di applicazione e responsabilità.
   
   
   1. Le parti accettano e riconoscono quanto segue: il Cliente è il Titolare del trattamento dei Dati personali del Cliente. Zoom è il Responsabile del trattamento dei Dati personali del Cliente.
      
      
   2. Soltanto nella misura necessaria e proporzionata, il Cliente, in qualità di Titolare del trattamento, incarica Zoom di svolgere le seguenti attività in qualità di Responsabile del trattamento per conto del Cliente (collettivamente, le "Istruzioni"):
      
      
      1. Fornitura e aggiornamento dei Servizi come concessi in licenza, configurati e utilizzati dal Cliente e dai suoi utenti, anche attraverso l'uso da parte del Cliente delle impostazioni di Zoom, dei controlli di amministratore o di altre funzionalità del Servizio;
         
         
      2. Monitoraggio sicuro e in tempo reale dei Servizi;
         
         
      3. Risoluzione di problemi, bug ed errori;
         
         
      4. Fornitura dell'assistenza richiesta dal Cliente, compresa l'applicazione delle conoscenze acquisite dalle singole richieste di assistenza clienti a beneficio di tutti i clienti Zoom, ma solo nella misura in cui tali conoscenze siano rese anonime; e
         
         
      5. Trattamento dei Dati personali del Cliente come delineato nell'Accordo (incluso il presente Addendum e l'allegato A al presente documento), nonché qualsivoglia altra istruzione documentata fornita dal Cliente e accettata da Zoom come istruzione costitutiva.
   3. Nella misura in cui Zoom agisce in qualità di Responsabile del trattamento dei Dati personali del Cliente, Zoom tratterà i Dati personali del Cliente solo in conformità con le Istruzioni del Cliente. Il Cliente dovrà garantire che le proprie Istruzioni a Zoom siano conformi a tutte le leggi, norme e regolamenti applicabili ai Dati personali del Cliente e che il trattamento dei Dati personali del Cliente secondo le Istruzioni del Cliente non comporti la violazione da parte di Zoom delle leggi statali applicabili in materia di protezione dei dati. Il Cliente è l'unico responsabile dell'accuratezza, della qualità e della legalità (i) dei Dati personali del Cliente forniti a Zoom dal Cliente o per suo conto; (ii) delle modalità con cui il Cliente ha acquisito tali Dati personali del Cliente; e (iii) delle istruzioni fornite a Zoom in merito al trattamento di tali Dati personali del Cliente. Il Cliente non dovrà fornire né rendere disponibile a Zoom alcun Dato personale del Cliente in violazione del'Accordo o del presente Addendum.
      
      
   4. Il Cliente autorizza Zoom a eseguire scansioni e segnalazioni di Dati personali in circostanze limitate (ad esempio, per rilevare e segnalare materiale pedopornografico, per rispettare altre Leggi in vigore, per garantire la conformità alle Linee guida sull'uso accettabile di Zoom).
      
      
3. Persone autorizzate. Zoom garantirà che tutti i soggetti autorizzati al trattamento dei Dati personali del Cliente siano informati della natura confidenziale dei Dati personali del Cliente e siano soggetti all'obbligo di riservatezza in relazione a tali dati.
   
   
4. Subappaltatori e Sub-responsabili del trattamento. Nella misura in cui Zoom è un Responsabile del trattamento, il Cliente autorizza Zoom a impiegare subappaltatori e sub-responsabili del trattamento in conformità con la presente Sezione C(4).
   
   
   1. Il Cliente approva l'impiego da parte di Zoom dei fornitori indicati all'indirizzo https://www.zoom.com/en/trust/subprocessors/ per trattare i Dati personali del Cliente.
      
      
   2. Zoom si riserva il diritto di rimuovere, sostituire o nominare ulteriori fornitori. A condizione che il Cliente si iscriva agli aggiornamenti su https://www.zoom.com/en/trust/subprocessors/, Zoom informerà il Cliente di eventuali modifiche agli incarichi di tali fornitori. Laddove richiesto dalle leggi statali applicabili in materia di protezione dei dati, si impegna inoltre a fornire al Cliente la possibilità di opporsi a tali incarichi in conformità con le Sezioni C(4)(d) e C(4)(e) del presente Addendum.
      
      
   3. In caso di emergenza relativa alla disponibilità o alla sicurezza dei Servizi, Zoom non è tenuta a fornire al Cliente una notifica preventiva della rimozione, sostituzione o nomina di subappaltatori, ma dovrà fornire una notifica entro sette (7) giorni lavorativi successivi alla modifica del subappaltatore.
      
      
   4. In entrambi i casi, il Cliente può opporsi per iscritto all'impiego di un subappaltatore entro quindici (15) giorni lavorativi dal ricevimento della suddetta notifica da parte di Zoom.
      
      
   5. Qualora il Cliente si opponga all'impiego di un nuovo subappaltatore, Zoom avrà il diritto di risolvere l'obiezione mediante una delle seguenti opzioni (da scegliere a esclusiva discrezione di Zoom):
      
      
      1. Zoom potrà annullare i propri piani di impiegare il subappaltatore in relazione ai Dati personali del Cliente.
         
         
      2. Zoom potrà adottare le misure correttive richieste dal Cliente nella sua obiezione (che eliminano l'obiezione stessa) e procedere con l'impiego del subappaltatore in relazione ai Dati Personali del Cliente.
         
         
      3. Zoom può cessare di fornire o il Cliente può accettare di non utilizzare (temporaneamente o permanentemente) l'aspetto specifico del Servizio che comporterebbe l'utilizzo di tale subappaltatore in relazione ai Dati personali del Cliente. Zoom fornirà al Cliente una descrizione scritta di eventuali alternative commercialmente ragionevoli a tale impiego, incluse, a titolo esemplificativo ma non esaustivo, le modifiche ai Servizi. Qualora Zoom, a sua esclusiva discrezione, non possa fornire tali alternative, o qualora il Cliente non accetti tali alternative, se fornite, Zoom e il Cliente potranno recedere dall'Accordo, incluso il presente Addendum, con un preavviso scritto di sessanta (60) giorni. La risoluzione non esonera il Cliente da eventuali commissioni o oneri dovuti a Zoom per i Servizi forniti fino alla data di efficacia della risoluzione ai sensi dell'Accordo.
         
         
      4. Qualora il Cliente non si opponga all'impiego di un nuovo subappaltatore entro 15 giorni lavorativi dall'emissione della notifica da parte di Zoom, tale nuovo subappaltatore si considererà accettato.
         
         
   6. Zoom potrà impiegare un subappaltatore del Trattamento dei Dati Personali del Cliente esclusivamente in forza di un contratto scritto e richiederà al subappaltatore di adempiere a tutti gli obblighi di Zoom che siano stati oggetto di subappalto in relazione a tali Dati Personali. Zoom rimarrà responsabile nei confronti del Cliente qualora il subappaltatore non adempia agli obblighi in materia di protezione dei dati, nella stessa misura in cui Zoom stessa ne sarebbe responsabile ai sensi del presente Addendum qualora avesse compiuto direttamente tali atti od omissioni.
      
      
5. Sicurezza delle informazioni. Tenendo conto del contesto del Trattamento, Zoom adotterà misure tecniche e organizzative adeguate in relazione ai Dati Personali del Cliente, al fine di garantire un livello di sicurezza adeguato al rischio, in conformità con il presente Addendum e come diversamente specificato nell'Accordo.
   
   
6. Informazioni sulla conformità. A fronte di una richiesta ragionevole da parte del Cliente, Zoom metterà a disposizione del Cliente informazioni ragionevoli, in suo possesso, necessarie a dimostrare la conformità di Zoom agli obblighi previsti dal presente Addendum, in modo coerente con le Leggi applicabili e nel rispetto delle stesse.

Allegato A

Descrizione del trattamento

Dal Titolare al Responsabile del trattamento

Natura e scopo del trattamento: Zoom tratterà i Dati personali del Cliente per le seguenti finalità, in conformità con l'Accordo (incluso il presente Addendum):

• Fornitura e aggiornamento dei Servizi come concessi in licenza, configurati e utilizzati dal Cliente e dai suoi utenti, anche attraverso l'uso da parte del Cliente delle impostazioni di Zoom, dei controlli di amministratore o di altre funzionalità del Servizio;
  
  
• Monitoraggio sicuro e in tempo reale dei Servizi;
  
  
• Risoluzione di problemi, bug ed errori;
  
  
• Fornitura dell'assistenza richiesta dal Cliente, compresa l'applicazione delle conoscenze acquisite dalle singole richieste di assistenza clienti a beneficio di tutti i clienti Zoom, ma solo nella misura in cui tali conoscenze siano rese anonime;
  
  
• Come delineato nell'Accordo e/o nel presente Addendum o in qualsivoglia altra istruzione documentata fornita dal Cliente e riconosciuta da Zoom come istruzione vincolante; e
  
  
• Qualora sia necessario per soddisfare gli obblighi legali.
  
  

Tipologia dei Dati personali oggetto del trattamento:

Informazioni del profilo dell'account Zoom: dati associati all'account Zoom dell'utente finale, all'immagine del profilo, alla password, al nome dell'azienda e alle preferenze del Cliente. Ciò includerà:

• ID utente univoco di Zoom,
  
  
• immagine del profilo (facoltativa)
  
  

Dati diagnostici:

Metadati delle riunioni: metriche relative all'utilizzo del servizio, incluso quando e come sono state condotte le riunioni.

Questa categoria include:

• registri degli eventi (inclusi azioni intraprese, tipo e sottotipo degli eventi, posizione degli eventi all'interno dell'app, timestamp, UUID del client, ID utente e ID riunione)
  
  
• informazioni sulle sessioni delle riunioni, tra cui frequenza, durata media ed effettiva, quantità, qualità, attività di rete e connessione di rete
  
  
• numero di riunioni
  
  
• numero di sessioni con condivisione dello schermo e senza condivisione dello schermo
  
  
• numero di partecipanti
  
  
• informazioni sull'organizzatore della riunione
  
  
• nome dell'organizzatore
  
  
• URL del sito della riunione
  
  
• orario di inizio/fine della riunione
  
  
• metodo di partecipazione
  
  
• prestazioni, risoluzione dei problemi e informazioni diagnostiche
  
  

Dati telemetrici: dati raccolti dal software installato localmente (informazioni sulle applicazioni e sul browser relative all'implementazione dei Servizi Zoom e informazioni ambientali/tecniche su sistemi correlati). Ciò include:

• nome PC
  
  
• microfono
  
  
• altoparlante
  
  
• videocamera
  
  
• dominio
  
  
• ID hard disc
  
  
• tipo di rete
  
  
• tipo e versione del sistema operativo
  
  
• versione del client
  
  
• Indirizzo MAC
  
  
• registri degli eventi (inclusi azioni intraprese, tipo e sottotipo degli eventi, posizione degli eventi all'interno dell'app, timestamp, UUID del client, ID utente e ID riunione)
  
  
• registri del servizio (informazioni relative agli eventi e agli stati del sistema)
  
  

Dati generati da altri servizi:

• identificazione di spam
  
  
• notifiche push
  
  
• Identificativi univoci persistenti di Zoom come UUID o ID utente che sono combinati con altri elementi di dati, tra cui:
  
  
• Indirizzo IP
  
  
• Data center
  
  
• nome PC
  
  
• Microfono
  
  
• Altoparlante
  
  
• Videocamera
  
  
• Dominio
  
  
• ID hard disc
  
  
• Tipo di rete
  
  
• Tipo e versione del sistema operativo
  
  
• Versione client
  
  
• Indirizzi IP nel percorso di rete
  
  

Dati di supporto:

• Nome di contatto del richiedente assistenza, orario, oggetto, descrizione del problema, feedback post-riunione (pollice in su/giù)
  
  
• Allegati forniti dall'utente, tra cui registrazioni, trascrizioni o screenshot, feedback post-riunione (testo libero fornito con valutazione negativa)
  
  

Durata del trattamento: la durata dell'Accordo più il periodo necessario a Zoom per cancellare o restituire tutti i Dati personali del Cliente trattati per conto del Cliente.

Aggiornamenti

Zoom potrà modificare o integrare di volta in volta il presente addendum sulla privacy. Qualsiasi modifica apportata al presente addendum sulla privacy sarà pubblicata qui. Se desideri ricevere notifiche riguardo a cambiamenti o integrazioni del presente addendum sulla privacy, inserisci il tuo indirizzo e-mail nel campo sottostante.